Auch Kantonspolizei lieferte Daten

Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).

"Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain AG übermittelt worden", heisst es im Bericht der Datenschutzbeauftragten.

Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.

Die Datenschutzbeauftragte bemängelt, dass im Rahmen der internen Dienstaufsicht nicht bemerkt sei, dass unzulässige Datenbekanntgaben durch die verantwortlichen Stellen an Xplain AG erfolgt seien.

Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin zu überprüfen seien, ob die rechtzeitige Durchführung von Datenschutz-Folgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.

Die Hackergruppe "Play" veröffentlichte nach dem Datenklau bei Xplain insgesamt 32 Gigabyte Daten aus dem DVI. Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.